Embed Size (px)
Citation preview
CÁC GIAN LẬN TRONG HỆ THỐNG XỬ LÝ BẰNG MÁY
GVHD: GV NGUYỄN BÍCH LIÊN
NHÓM TH: NHÓM 7
Kể từ khi máy tính và phần mềm kế toán ngày càng được sử dụng phổ biến trong kinh doanh chủ đề “ Gian lận trong môi trường máy tính” được xem là một vấn đề quan trọng đối với kiểm toán viên khi thực hiện kiểm toán trong môi trường này. Mặc dù động cơ của các hành vi gian lận hầu như không thay đổi nhưng thủ thuật gian lận lại luôn thay đổi và khác biệt so với gian lận trong hệ thống kế toán thủ công.
Tuy không thể có số liệu chính xác về ảnh hưởng do gian lận gây ra trong môi trường máy tính nhưng thiệt hại được ước tính lên đến hàng trăm tỷ $ Mỹ hàng năm.
Gian lận: Là những hành vi cố ý làm sai lệch thông tin kinh tế, tài chính do một hay nhiều người trong Hội đồng quản trị, Ban Giám đốc, các nhân viên hoặc bên thứ ba thực hiện, làm ảnh hưởng đến báo cáo tài chính.
Quản trị cơ sở dữ liệu
Nguồn dữ liệu bên ngoài
Thu thập và cập nhật dữ liệu
Xử lý dữ liệu
Truy xuất thông tin
Nguồn dữ liệu nội bộ Đối tượng sử dụng nội bộ
Đối tượng sử dụng bên ngoài
Gian lận có thể biểu hiện dưới các dạng tổng quát sau:
- Xuyên tạc, làm giả chứng từ, tài liệu liên quan đến báo cáo tài chính;
- Sửa đổi chứng từ, tài liệu kế toán làm sai lệch báo cáo tài chính;
- Biển thủ tài sản; - Che dấu hoặc cố ý bỏ sót các thông tin, tài liệu hoặc
nghiệp vụ kinh tế làm sai lệch báo cáo tài chính; - Ghi chép các nghiệp vụ kinh tế không đúng sự thật; - Cố ý áp dụng sai các chuẩn mực, nguyên tắc, phương
pháp và chế độ kế toán, chính sách tài chính; - Cố ý tính toán sai về số học.
Về mặt lý thuyết, mô hình chung của hệ thống thông tin kế toán bao gồm 3 bước : Thu thập và cập nhật dữ liệu, xử lý & quản trị dữ liệu, truy xuất thông tin; được minh họa qua sơ đồ sau. Gian lận sẽ xảy ra trong từng khâu theo sơ đồ minh họa.
KHÂU THU THẬP VÀ CẬP NHẬT DỮ LIỆU
Thu thập và cập nhập dữ liệu là bước đầu
tiên trong hệ thống thông tin kế toán trong môi trường máy tính. Dữ liệu có thể được thu thập từ nguồn dữ liệu nội bộ hay từ bên ngoài. Cách đơn giản nhất để thực hiện hành vi gian lận trong môi trường máy tính là thực hiện khi dữ liệu được thu thập hay cập nhật. Tại giai đoạn này, người thực hiện hành vi gian lận không cần thiết phải có kiến thức hay kĩ năng giỏi về máy tính mà chỉ cần hiểu cách thức cập nhật dữ liệu vào hệ thống.
I.1) GIAN LẬN SỐ 1: CỐ TÌNH NHẬP SAI VÀ THAY ĐỔI DỮ LIỆU.
Thủ thuật : Truy cập vào mạng của hệ thống từ chi
nhánh dưới dạng tên sử dụng và mật khẩu đã được phê chuẩn chung của chi nhánh. Nối đường dây mạng song song với đường dây của chi nhánh và truy cập vào hệ thống khi các nhân viên được ủy quyền kết nối vào hệ thống, sau đó thực hiện sửa đổi hay cập nhật dữ liệu. Gian lận xảy ra trong gian đoạn này sẽ ảnh hưởng đến toàn bộ hệ thông tin.
Ví dụ: Nhân viên phụ trách tính lương nhập thông tin sai nhằm làm tăng số giờ làm việc của một vài công nhân thân thuộc. Gian lận này đã không được phát hiện bởi hệ thống kiểm soát nội bộ và được xử lý cùng với nghiệp vụ tính lương cho các nhân viên khác.
BIỆN PHÁP:
Từng người sử dụng máy tính cần có một tài khoản người sử dụng và mật khẩu duy nhất và bất kỳ phần mềm nào cũng cần được thiết kế để vận hành với đúng tài khoản người sử dụng đó.
Các phần mềm cụ thể cũng nên được thiết kế theo cách mà những người sử dụng cụ thể được trao quyền sử dụng một phần hoặc tất cả phần mềm, hoặc tiếp cận một phần hoặc toàn bộ hồ sơ dữ liệu.
Công ty nên có chính sách rõ ràng bằng văn bản về điều này và chính sách này nên được Cán bộ Quản lý IT hoặc một người khác có thẩm quyền lưu giữ và thực hiện.
Sổ ghi người sử dụng máy tính và các phần mềm cần được kích hoạt khi có thể. Những người sử dụng thường xuyên không được phép có khả năng xoá hoặc sửa đổi sổ ghi (nghĩa là họ không được có quyền của cán bộ quản lý IT). Định kỳ công ty nên tiến hành kiểm tra độc lập về các sổ ghi để xác định những người sử dụng không được phép.
I.2) GIAN LẬN SỐ 2: CHE GIẤU, CỐ Ý BỎ SÓT THÔNG TIN TÀI LIỆU HOẶC THAY ĐỔI NGHIỆP VỤ KINH TẾ LÀM SAI LỆCH BÁO CÁO TÀI CHÍNH.
Thủ thuật: Trong quá trình nhập dữ liệu vào máy tính, kế
toán viên cố ý bỏ sót hoặc thay đổi nghiệp vụ kinh tế nhằm thu lợi cho doanh nghiệp hoặc cá nhân.
Ví dụ: - Khách hàng trả nợ cho công ty nhưng kế toán đã không ghi số tiền nhận được này vào sổ sách kế toán mà ngựơc lại kế toán ghi nhận một khoản phải thu khó đòi.
BIỆN PHÁP:
Người chịu trách nhiệm trước pháp luật về tính trung thực của các báo cáo tài chính cũng như việc tuân thủ luật pháp trong một đơn vị là quản lí của đơn vị. Vì vậy biện pháp đầu tiên là người quàn lý phải nâng cao trách nhiệm và năng lực quản lý của mình. Ngoài ra cần có một hệ thống kiểm toán chặt chẽ
Các thủ tục kiểm soát cần được thiết kế nhằm mục đích thu thập thông tin có thật, đầy đủ và chính xác. Nhiệm vụ quan trọng của lập trình viên là thiết kế các thủ tục nhằm xác định thông tin nào là xác thực và thông tin nào là không. HTTT chỉ thu thập những thông tin có thật, các thông tin không có thật cần được loại bỏ hay từ chối cập nhật. Các thủ tục kiểm soát dữ liệu đầu vào bao gồm kiểm soát nguồn dữ liệu và kiểm soát nhập liệu cần được thiết kế để kiểm tra tính xác thực của dữ liệu nhập, như kiểm tra tính hiện hữu, tính thích hợp, tính hợp lý… Vì vậy, khi thực hiện các thử nghiệm kiểm soát, kiểm toán viên cần chú trọng xem xét liệu các thủ tục kiểm soát có đạt được các mục tiêu chính là đảm bảo các nghiệp vụ cập nhật vào hệ thống là có thật, đầy đủ, chính xác hay không.
II.3) GIAN LẬN SỐ3 : LẬP CHỨNG TỪ GIẢ BẰNG NHIỀU HÌNH THỨC KHÁC NHAU. VÍ DỤ NHƯ LẬP HÓA ĐƠN ĐỎ CHO MỘT LÔ HÀNG HAY THẬM CHÍ LÀM GIẢ HÓA ĐƠN; LÀM GIẢ ĐƠN ĐẶT HÀNG .
Thủ thuật : Một vài cách thức gian lận thường nhằm biển thủ tài sản, nhân viên bán hàng đã tạo ra một đơn đặt hàng bằng thư điện tử giả mạo giống như đơn đặt hàng bằng thư điện tử của một khách hàng quen thuộc. số lượng,và mặt hàng không có gì thay đổi, chỉ khác biệt địa điểm giao hàng. Đơn đặt hàng được cập nhật vào máy tính và sau đó được xử lý như một nghiệp vụ bán hàng thông thường
BIỆN PHÁP :
Ngăn chặn hoá đơn đúp hoặc hoá đơn giả do nhà cung cấp phát hành Khi công ty nhận được hoá đơn của nhà cung cấp, tất cả các hoá đơn nên được đánh số theo thứ tự để việc sau đó việc kiểm tra về tính liên tục của các số hoá đơn có thể giúp xác định việc tất cả các hoá đơn nhận được đã được hạch toán. Một biện pháp kiểm soát tốt cũng bao gồm việc đóng dấu lên hoá đơn để ghi rõ số tham chiếu của đơn đặt hàng và biên bản nhận hàng, mã tài khoản, nếu phù hợp, và tên viết tắt của nhân viên thực hiện việc kiểm tra này. Việc này sẽ giúp ích cho quá trình đối chiếu chứng từ. Kế toán nên kiểm tra các chi tiết của hoá đơn so với đơn đặt hàng và biên bản giao hàng liên quan và lưu giữ chung các chứng từ này. Việc này đảm bảo là tất cả các hoá đơn, vốn là cơ sở để thanh toán cho nhà cung cấp, sẽ liên quan đến những giao dịch mua hàng hợp lệ và nhận đúng hàng.
NGĂN CHẶN GIAN LẬN TRONG VIỆC ĐẶT HÀNG NHÀ CUNG CẤP :
Nên tách biệt chức năng đề nghị mua hàng và chức năng đặt hàng. Nói cách khác, mọi việc mua hàng chỉ do phòng thu mua tiến hành và phòng thu mua phải độc lập với các phòng khác. Phòng thu mua chỉ nên đặt hàng nhà cung cấp khi nhận được phiếu đề nghị mua hàng tiêu chuẩn đã được người có thẩm quyền ký duyệt. Đơn đặt hàng phải được đánh số trước và tham chiếu đến số của phiếu đề nghị mua hàng, và cung cấp các thông tin liên quan đến hàng hoá/dịch vụ, số lượng, giá cả, quy cách, v.v…. Các liên của đơn đặt hàng này nên được chuyển đến phòng nhận hàng, phòng kế toánvà phòng đề nghị mua hàng để giúp kiểm tra nhận hàng và thanh toán sau đó.
KHÂU XỬ LÝ & QUẢN TRỊ CƠ SỞ DỮ LIỆU
Gian lận trong giai đoạn này thường xảy ra ít hơn giai đoạn đầu.Để thực hiện được hành vi gian lận trong khâu này các đối tượng đòi hỏi phải có kiến thức và kỹ năng chuyên môn về phần mềm máy tính.
II.1) Gian lận số 4 :Phi tang các tài liệu có hại hoặc phá hủy làm ngưng trệ chương trình thông qua các vi rút máy tính
Đây cũng là một trong những gian lận rất có thể xảy ra mà các đối tượng xấu thực hiện hành vi gian lận của mình nhằm mục đích phi tang các bằng chứng về những hành vi sai phạm của mình khi có nguy cơ bị phhát hiện hoặc do các đối thủ cạnh tranh gây ra nhằm phá hủy các tài liệu quan trọng của công ty.
THỦ THUẬT :
Đưa vào máy tính đĩa CD/DVD, USB chứa virut có khả năng xâm nhập mạnh, mà phần mềm diệt virút hiện tại của máy tính không có khả năng tiêu diệt chúng. Virut sẽ thâm nhập để hủy các dữ liệu, thông tin trong máy. Từ đó sẽ làm mất các bằng chứng gây hại cho họ.
Đối với các đối thủ cạnh tranh họ có thể gửi các email bị nhiễm virút tới máy tính của công ty, nếu chúng ta không biết thì khi mở các email này virut sẽ tự động xâm nhập vào trong máy tính và làm hư hỏng các tài liệu quan trọng gây ra những hậu quả nghiêm trọng cho công ty.
BIỆN PHÁP:
Trước hết công ty phải có một hệ thống bảo vệ tự đông phát hiện ra các xâm nhập bất thường cho tất cả các máy tính trong hệ thống làm việc.
Công ty nên cài đặt phần mềm diệt vi rút có hiệu quả, ví dụ như Norton Anti-Virut trên tất cả các máy tính trong hệ thống và thực hiện đúng định kỳ chạy và luôn phải update thường xuyên các phần mềm này.Các phần mềm diệt virut nên được thiết kế để quét tất cả các tập tin của công ty. Các email công ty nhận được phải quét virut trước khi sử dụng.
II.2) GIAN LẬN SỐ 5: SỬA ĐỔI TÍNH LOGIC CỦA CHƯƠNG TRÌNH LÀM CHO CHƯƠNG TRÌNH XỬ LÝ SAI LỆCH THÔNG TIN
Thủ thuật: Sửa vùng ram mà chương trình đang chạy, làm cho chương trình xử lý các giá trị sai lệch. Ví dụ như bạn là 1 nhân viên kế toán login vào tài khoản của mình, trong đó đã có 1 chương trình kế toán mà công ty cung cấp cho bạn sử dụng. Giả sử bạn muốn sửa đổi lãi suất cố định lưu ở máy chủ. Bạn sẽ dùng 1 chương trình khác để sửa lãi suất.
BIỆN PHÁP :
Đối với nội bộ công ty, Admin của ty không cho user sử dụng chương trình khác hoặc không cho cắm Usb vào chẳng hạn, dùng những module chống tấn công từ chối dịch vụ (DOS), tự động thẩm định và từ chối quyền truy cập của các kết nối nghi vấn. Đối với bên ngoài, công ty cần triển khai phần mếm tường lửa ở tất cả các nơi, và không kết nối trực tiếp với hệ thống mạng internet mà phải sử dụng mạng riêng ảo, bảo vệ tất cả các mạng không dây
II.3) GIAN LẬN SỐ 6:
Sử dụng những chương trình bất hợp pháp để truy cập dữ liệu, sau đó sửa đổi, xóa hay chèn thêm giá trị vào các nghiệp vụ kinh tế đã được xử lý
Thủ thuật : Các nhân viên sử dụng các phần mềm đánh
cắp mật khẩu để truy cập vào các phần hành kế toán như : phần hành Kế toán hàng hóa, công nợ…. để sửa đổi thông tin đã được kế toán cập nhật trước đó. Khoảng chênh lệch giữa sổ sách và thực tế sẽ bị biển thủ.
BIỆN PHÁP:
Công ty cần có các hoạt động ghi nhận và lưu trữ các thông tin về người truy cập, thời gian, nội dung thực hiện liên quan đến việc cập nhật, thay đổi hay xóa dữ liệu nhằm mục tiêu đảm bảo tính đáng tin cậy và chính xác của các hoạt động xử lý thông tin.
KHÂU TRUY XUẤT THÔNG TIN
Truy suất thông tin là một quá trình liên quan đến việc tổng hợp,sắp xếp, trình bày và cung cấp thông tin cho người sử dụng.Thông tin có thể truy suất ra ngoài như các chứng từ, báo cáo hay hiển thị trên màn hình.Một số gian lận thường gặp trong khâu này
III.1) GIAN LẬN SỐ 7: ĐÁNH CẮP THÔNG TIN RA BÊN NGOÀI
Thủ thuật : Hành vi gian lận thông dụng trong tiến trình truy xuất thông tin là đánh cắp sửa đổi dữ liệu nhằm sử dụng cho mục đích cá nhân. Một thủ thuật đơn giản nhưng rất hiệu quả là kĩ thuật tìm kiếm,trong đó truy tìm những tập tin dữ liệu truy xuất đã bị xóa bỏ trong tập tin “ thùng rác ”, hoặc người gian lận có thể tìm được dữ liệu qua các bản sao,hay những chứng từ báo cáo đã bỏ đi và sử dụng máy tính để chèn vào những nội dung trái phép .
Không chỉ các doanh nghiệp lớn mà các doanh nghiệp nhỏ cũng nằm trong tầm ngắm của các hacker, vì với những trương trình quét tự động của hacker, thì ngay cả những doanh nghiệp bé này cũng trở thành con mồi . Thực tế thì các doanh nghiệp nào cũng gặp vấn đề với tấn công hệ thống đánh cắp dữ liệu và nhiều nguy cơ khác .Những doanh nghiệp không thể giải quyết vấn đề này thường vướng vào một loạt khó khăn như doanh thu giảm ,mất dữ liệu khách hàng và như vậy họ sẽ đánh mất niềm tin từ khách hàng và hủy hoại hình ảnh doanh nghiệp.
BIỆN PHÁP
Các dữ liệu thường được lưu trữ trong những tập tin chủ hay các hồ sơ lưu trữ, chúng cần được kiểm soát nhằm đảm bảo: việc truy cập vào dữ liệu bắt buộc phải theo các nguyên tắc đã định.
Mọi trường hợp xử lí để thay đổi dữ liệu lưu trữ luôn phải tuân thủ nghiêm ngặt các thủ tục đã được chỉ định
Mặt khác, các hoạt động như tải dữ liệu vào hay ra khỏi hệ thống đều phải tuân theo đúng mọi thủ tục và thường xuyên được giám sát nhằm ngăn chặn việc phá hoại dữ liệu.
III.2 ) GIAN LẬN SỐ 8 : SỬA ĐỔI DỮ LIỆU KHI TRUY XUẤT THÔNG TIN RA BÊN NGOÀI NHẰM SỬ DỤNG CHO MỤC ĐÍCH CÁ NHÂN.
Thủ thuật: Lợi dụng danh nghĩa ngân hàng ,một nhân viên thư kí
chèn thêm dòng “tái bút”yêu cầu đọc thư ngỏ đính kèm trong thư cảm ơn chính thức của ngân hàng gửi đến các khách hàng .Trong thư ngỏ ,nhân viên dưới danh nghĩa ngân hàng thông báo rằng do tình trạng truy xuất mật khẩu trái phép đang gia tăng nên ngân hàng đề nghị khách hàng thanh toán khoản phí bảo mật mạo danh ,trong khi đó dịch vụ này đang được ngân hàng cung cấp miễn phí.Một số khách hàng do không kiểm ta đã chuyển phí dịch vụ hàng năm đến công ty dịch vụ mạo danh này và cho rằng phí dịch vụ vài đo-la là quá rẻ ,tuy nhiên số lượng khách hàng chuyển tiền thanh toán có thể lên đến hàng chục nghìn khách hàng hay nhiều hơn nữa nên số tiền chiếm đoạt khá lớn
BIỆN PHÁP
Kiểm soát chứng từ: thực hiện bằng cách đối chiếu số tổng cộng của môi trường thông tin của tất cả các loại trong trường này đã được máy tính xử lí với số tổng cộng với chứng từ nhập. Thí dụ, báo cáo bán hàng được xử lí bởi hệ thống máy tính phải được đối chiếu lại với hệ thống hóa đơn gốc bởi một nhân viên kế toán được chỉ định.
LỜI KẾT
Theo thời gian, gian lận trong môi trường máy tính sẽ ngày càng tinh vi và khó phát hiện, do đó rủi ro tiềm tàng trong môi trường máy tính sẽ càng tăng. Khi các trường hợp gian lận về cơ sở dữ liệu, hoạt động xử lý thông tin hay chương trình ứng dụng phát sinh, sẽ làm gia tăng rủi ro có sai lệch trọng yếu trên báo cáo tài chính. Vì vậy, sự hiểu biết đầy đủ về môi trường máy tính cũng như đánh giá đúng rủi ro về khả năng xảy ra của các sai phạm trong từng giai đoạn của hệ thống thông tin kế toán sẽ giúp những quản trị , kiểm toán viên quản lý, kiểm tra một cách chính xác và hiệu quả hơn.
